Gartner稱,如果閣下的應用程序要接入互聯網而又需要具備安全性,那就用容器技術吧。
根據分析公司Gartner的研究結果,容器比在傳統操作系統里運行的應用程序更安全,因此那些不想被黑客攻擊的架構需要認真考慮往云里遷移。
分析師jeorg Fritsch在一篇名為“如何確保Docker容器安全”的文章里表示,“Gartner認為部署在容器里的應用程序比部署在傳統操作系統里的應用程序更安全”,原因是即便某個容器受到攻擊,“但由于每個應用程序和用戶是各處在自己的容器里,是被隔離的,黑客并不會同時攻陷其他容器或主機操作系統”。
這也并不是說容器是完美的:文章也承認這種容器擁有的“……內在安全屬性令它們容易受到內核特權升級攻擊”,因此并不是“高風險隔離保險的好工具” 。
但文章仍然主張坊間各機構“力求從Linux容器的安全性受益,采用‘容器優先'的方法”及“將互聯網應用部署在Docker容器里,不管是否用了CI/CD/DevOps都要遵循最佳安全實踐” 。
但這也不是說容器就是一付修復安全的萬靈丹。正如文章標題所暗示的,要獲取Docker所能提供的安全效益,正確的做法是必須的。而正確的做法意味著要根據Docker指引強化其所處的主機安全,以及考慮使用諸如Aqua安全、CloudPassage、Twistlock和Weave的第三方Docker安全產品。要掌握邏輯安全分區和網絡隔離的用法,這一點是必須的。用戶還應該透切地理解微服務路線選擇(Microservices routing),如此打造出的應用程序在容器交互時就能安全地進行。
除此之外,用戶還應該了解內核控件,以確保容器能獲得訪問主機內核的正確級別。
Fritsch在文章里表示,“在Linux操作系統和Linux容器里,任何一個系統調用都是直接和內核互動。”他稱此內核“是所有分離特性所依靠的同一個內核。系統調用是一個承受攻擊的重要區域,這地方不能出錯誤。”
而就總體而言,文章建議各種機構認真地考慮往容器遷移。不要只停留在DevOps那群人的層次上。
京公網安備 11010502049343號